Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Club de la sécurité de l’information français Fiches Incidents Cyber SI Industr

Club de la sécurité de l’information français Fiches Incidents Cyber SI Industriels CLUSIF – Groupe de Travail SCADA Avril 2017 Club de la sécurité de l’information français Remerciements Le CLUSIF tient à mettre ici à l’honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement: Les responsables du groupe de travail: Anthony DI PRIMA Wavestone Hervé SCHAUER HSC by Deloitte Les contributeurs: Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 2 Christophe AUBERGER Fortinet Patrice BOCK Sentryo Gaëtan BOIN Sogeti Jean CAIRE RATP Loïc GUEZO TrendMicro Mathieu HERNANDEZ ENGIE Ineo Philippe JEANNIN RTE Guillaume LE HEGARET Setec ITS Thierry MATUSIAK IBM Thierry PERTUS Conix Philippe REBUFAT Ministère de la Défense Jérôme RICHARD Econocom Digital Security Pascal SITBON Seclab Ilias SIDQUI Wavestone Le CLUSIF remercie également les adhérents ayant participé à la relecture. Pour tout commentaire, veuillez contacter le CLUSIF à l’adresse suivante : scada@clusif.fr Club de la sécurité de l’information français Sommaire Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 3 Objectifs Démarche adoptée Comment lire les fiches? Sommaire des incidents analysés Analyse des incidents Synthèse Fiches incidents Présentation du CLUSIF Crédit photo 7 8 9 11 14 17 70 66 19 Présentation du Groupe de Travail « Sécurité SCADA » 4 Présentation du document 6 Quelles tendances pour les années à venir? 18 Club de la sécurité de l’information français Présentation du Groupe de Travail “Sécurité SCADA” Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 4 Club de la sécurité de l’information français GT SCADA Le Groupe de Travail SCADA est un groupe d’échange et de partage entre les acteurs de la sécurité informatique du monde industriel. Il regroupe notamment des RSSI, des architectes, des éditeurs et des consultants. Les objectifs du groupe sont d’échanger sur les pratiques en matière de cybersécurité des systèmes industriels, d’analyser les tendances actuelles et les évolutions réglementaires. Le groupe, créé en 2013, a mené plusieurs travaux qui ont abouti entre autres à la publication d’un panorama des référentiels de sécurité1. En 2016, le GT s’est penché sur les enseignements à tirer des cas d’incidents et d’attaques survenus sur des systèmes industriels avec des conséquences plus ou moins graves selon les cas. Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 5 1 https://clusif.fr/publications/cybersecurite-des-systemes-industriels-par-ou-commencer-synthese-des-bonnes-pratiques-et-panorama-des-referentiels/ Club de la sécurité de l’information français Présentation du document Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 6 Club de la sécurité de l’information français Objectifs Les fiches présentées dans ce document ont pour objectif de sensibiliser à la cybersécurité en environnement industriel à partir de cas réels d’attaques, d’incidents ou de preuves de concept pour leur dimension didactique. Outre les responsables sécurité des systèmes d’information, le document s’adresse à une population plus large, telle que des techniciens, mainteneurs, intégrateurs, éditeurs, responsables informatiques, responsables d’exploitation et industriels voire des directions générales, amenés à traiter cette problématique. Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 7 Club de la sécurité de l’information français Démarche adoptée Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 8 1 Identification Dans un premier temps il a été décidé d’énumérer l’ensemble des incidents connus des membres du GT. L’ensemble de recherche était ouvert à tous les secteurs d’activité, tous les pays. Aucune restriction temporelle n’a d’ailleurs été fixée. Les contributeurs ont identifié une multitude d’attaques et incidents cyber. L’apport a été réalisé à partir de sources ouvertes, publiques. 2 3 Sélection Les incidents selectionnés ayant fait l’objet d’une fiche devaient répondre aux critères suivants: • Suffisamment d’éléments disponibles pour décrire les incidents, le déroulé de l’attaque et les impacts; • Sources multiples, concordantes et vérifiables (magazines, sites web d’information, rapports émanant d’organismes); • Atteinte du SI industriel ou de son environnement proche, ou impact sur la production ou l’exploitation industrielle. Restitution Les membres du GT se sont répartis la rédaction des fiches incidents. Chaque fiche est constituée de 2 pages: • Un visuel et une description synthétique de l’attaque; • Le déroulé et les impacts basés sur les sources préalablement identifiées ainsi que les recommandations du Clusif. Club de la sécurité de l’’information françaisinformation français Comment lire les fiches? 1/2 Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 9 Présentation du contexte de l’attaque: • Année(s) au cours de laquelle s’est déroulée l’attaque; • Secteur d’activité de l’entité touchée; • Lieu où se trouve l’entité touchée par l’attaque. Description succincte du scénario d’attaque ou de l’incident et son impact Vulnérabilité exploitée pour mener l’attaque Titre de la fiche Visuel illustratif de l’incident Club de la sécurité de l’information français Comment lire les fiches? 2/2 Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 10 La gravité de l’attaque dépend des impacts constatés. 4 niveaux de gravité ont été identifiés: • Faible: pas ou peu d’impact • Moyenne : perte de production ponctuelle, pas d'impact humains, pas d'impacts écologique • Élevée : perte de production lourde, blessés mais pas de décès, impact écologique • Majeure : impacts financiers et/ou humains très lourds La complexité de l’attaque dépend des moyens mis en œuvre. 4 niveaux de complexité ont été identifiés: • Faible : pas d’outil nécessaire • Moyenne : outillage nécessaire, compétence technique simple à acquérir par l’attaquant • Élevée : outillage nécessaire, compétence technique forte et spécifique • Très Elevée: développement spécialisé pour l’attaque avec des moyens financiers et humains très importants Une description du déroulé de l’attaque basée sur les informations recueillies et consolidées par les contributeurs du GT. Les conclusions à tirer de cette attaque ainsi que les messages à transmettre sont présents dans cet encadré. Quelque(s) source(s) utilisée(s) pour l’élaboration de la fiche Rappel du contexte Club de la sécurité de l’information français Incidents analysés Avril 2017 11 Fiches incidents Cyber SI Industriels - GT SCADA Énergie Interruption de production d’électricité Fiche 1 France 2015 Explosion d’un pipeline Fiche 5 Turquie 2008 Destruction d’un système d’information - Shamoon Fiche 6 Arabie saoudite 2012 Coupure générale d’électricité - BlackEnergy Fiche 2 Ukraine 2015 Exfiltration de données de compagnies d’énergie - Havex Fiche 3 Europe/USA 2013-2014 Compromission du réseau informatique Fiche 4 Canada 2012 Pétrole & Gaz Explosion d’un gazoduc Fiche 7 URSS 1982 Club de la sécurité de l’’information françaisinformation français Incidents analysés Avril 2017 12 Fiches incidents Cyber SI Industriels - GT SCADA Eau/assainissement Transport Attaque d’une station d’épuration des eaux Fiche 8 N/C 2015 Mise hors service d’un superviseur de dérivation d’eau Fiche 9 USA 2007 Déversement d’eaux usées Fiche 10 Australie 2000 Empoisonnement de l’eau potable Fiche 11 USA 2013 Prise de contrôle de l’aiguillage d’un tramway Fiche 12 Pologne 2008 Prise de contrôle d’un véhicule automobile Fiche 13 USA 2015 Perturbation des systèmes de signalisation ferroviaire – Sobig/Blaster Fiche 14 USA 2003 Club de la sécurité de l’’information françaisinformation français Incidents analysés Avril 2017 13 Fiches incidents Cyber SI Industriels - GT SCADA Attaque de terminaux de points de vente - BlackPOS Fiche 22 USA 2013 Autre Détournement d’un drone de reconnaissance Fiche 21 Iran 2011 Divulgation de documents d'une centrale nucléaire Fiche 17 Corée du Sud 2014 Nucléaire Sabotage d’un processus industriel - Stuxnet Fiche 18 Iran 2009-2010 Infection par ver dans une centrale nucléaire - Slammer Fiche 19 USA 2003 Arrêt d’urgence d’un réacteur nucléaire Fiche 20 USA 2008 Attaque sur une pompe à insuline Fiche 23 Monde 2011 Industrie Déni de service sur usines automobiles - Zotob Fiche 15 USA 2005 Prise de contrôle du système de production d’une aciérie Fiche 16 Allemagne 2014 Club de la sécurité de l’information français Analyse des incidents L’analyse de la répartition géographique des incidents dévoile plusieurs éléments sur la situation économique et réglementaire des pays. En effet on remarque que : • Les pays les plus touchés sont les pays industrialisés disposant d’une industrie automatisée. • Le pays le plus représenté par ces fiches est les USA. Ceci pourrait s’expliquer par la culture de transparence sur ces sujets, avec de plus une réglementation obligeant les entreprises à signaler certains incidents. 0 2 4 6 8 10 Europe USA Autres Non localisés Répartition géographique des incidents Nombre de fiches Avril 2017 14 Fiches incidents Cyber SI Industriels - GT SCADA Club de la sécurité de l’information français Analyse des incidents Avril 2017 Fiches incidents Cyber SI Industriels - GT SCADA 15 Le GT SCADA a référencé des attaques sur systèmes industriels dont se sont fait écho la presse et les organismes de sécurité, et cela quelle que soit leur gravité. Les fiches ont été réparties selon 4 degrés de gravité (faible, moyenne, élevée et majeure). Pour chaque incident, la complexité de l’attaque a été évaluée selon les informations disponibles et publiques. L’évaluation de la complexité s’est faite sur 4 niveaux (faible, moyenne, élevée et très élevée). L’étude croisée de la gravité et complexité des attaques ou incidents permet d’en tirer quelques enseignements : • Les attaques de gravité majeure ont un niveau de complexité élevé voire très élevé: elles sont rendues possibles si l’attaquant dispose de moyens financiers et matériels conséquents uploads/Industriel/ scada-chap6-securite-scada-fiches-incidents.pdf